Drie van de negen exploitkits die vandaag actief zijn, maken gebruik van zogenaamde fileless of ‘bestandsloze’ malware. Die techniek wordt steeds populairder bij cybercriminelen.
Dat stellen onderzoekers van Malwarebytes in het onlangs gepubliceerd rapport Exploit kits: fall 2019 review. Fileless malware leeft uitsluitend in het geheugen van een computer en bestaat al enkele jaren. Het rapport maakt nu voor het eerst zichtbaar dat exploitkits in steeds grotere aantallen van dit type malware gebruik maken, aldus ZDNet.
Fileless malware
Bij een fileless-aanval wordt er misbruik gemaakt van tools die in het besturingssysteem zijn ingebouwd om aanvallen uit te voeren. Je zou kunnen zeggen dat Windows zich tegen zichzelf keert. Dat is anders dan de bekende bestandsgebaseerde aanvallen, die gebruik maken van traditionele uitvoerbare bestanden.
Bij het ontbreken van een uitvoerbaar bestand is er geen handtekening voor antivirussoftware om te detecteren. Dit maakt fileless-aanvallen zo gevaarlijk, ze kunnen op die manier namelijk vrij eenvoudig antivirusproducten ontwijken.
Interessante trend
Exploitkits die gebruik maken van deze techniek omvatten Magnitude, Underminer en Purple Fox. Het gaat misschien om kleine exploitkits in vergelijking met de meer algemeen gebruikte exploitkits als Spelevo, Fallout en RIG, maar dat doet er eigenlijk niet toe. Wetende dat inmiddels een derde van de huidige top-exploitkits fileless-technieken gebruikt, geeft een duidelijke richting aan waar de markt naartoe gaat.
“Dit is een interessante trend, die het delen van samples moeilijker maakt en mogelijk het aantal infecties verhoogt door enkele beveiligingsproducten te ontwijken”, zegt Jérôme Segura, malware-analist van Malwarebytes.
Internet Explorer-bugs
Bovendien maken steeds minder exploitkits gebruik van Flash-kwetsbaarheden. Dat heeft ermee te maken dat het marktaandeel van Adobe Flash de afgelopen jaren is gedaald, tot minder dan 8 procent in Google Chrome in februari 2018.
Exploitkits richten zich nu meer op Internet Explorer-bugs, ondanks het feit dat het marktaandeel van de browser ook is gekelderd. Volgens Malwarebytes heeft dat te maken met het feit dat Internet Explorer voornamelijk nog in bedrijfsnetwerken wordt gebruikt om legacy-toepassingen te ondersteunen.
Door zich te richten op IE-gebruikers, richten de operatoren van exploitkits zich effectief op bedrijfsnetwerken. Dat zijn zeer gewilde doelen in de malwarescene.